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4; Precede d'authentlficatlon d'au molns un dlsposKlf d'ldentlficatlon par un dlsposRIf de verification. 

^7) pr^ente invention conceme un nouvaau proc^d 
oSfuthentiflcatlon d'au molns un dispositif d'ldentlficatlon 
par un dispositif de verification. Ce proc^d est basd sur 
des techniques cfyptographlques k c\6s secrdtes et publi- 
ques, I'aulhentlfication 6tant r6alis6e par un protocols ^ ap- 
port nul de oonnalssance. 

De plus, ce dtaloaue est dtabll en utilisant le probldmes 
des Equations lin^ires contnaintes. 

L'Inventlon s'applique k la ciyptologle. 
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PROCEDE D'AUTHENTIFICATION D'AU MOINS UN DISPOSITIF 
D IDENTIFICATION PAR UN DISPOSITIF DE VERIFICATION 



La presents invention concerne un nouveau proc6d6 
5 d'authentification d'au moins un dispositif d*identification par un 
disposltlf de verification, cette authentification dtant rSalis^e par un 
protocole d apport nul de connaissance bas6 sur le probldme des 
Equations lin^aires contraintes. 

Le probldme des Equations linSaires contraintes (Constrained 

10 linear equations : CLE en langue anglaise) consiste d trouver des valeurs 
satisfaisant un certain nombre d*6quations iin^aires modulo un nombre 
premier d, ces valeurs 6tant de plus contraintes d se trouver dans un 
ensemble prescrit X. 

La pr6sente invention s*applique plus particuliSrement au cas 

1 5 des communications dites s6curis6es oO deux dispositifs 6changent des 
donndes d travers un canal dont la s6curit6 est suspecte. Dans ce cas, il 
est essentiel d'avoir un moyen de reconnaissance mutuelle, d savoir un 
moyen permettant au dispositif de verification d'authentifier un 
utilisateur et de lui permettre un accds aux donn^es ou au service. II 

20 existe de nombreux exemples nScessitant la mise en oeuvre de ce type 
de communication securisSe. On peut citer, notamment, le cas des 
ordinateurs de type bancaire permettant d'effectuer des transferts 
d'ordre, des distributeurs automattques de billets^ des dScodeurs de 
television d peage, des publiphones. 

25 Dans ce contexte, on utilise frequemment des methodes 

d'authentification qui sont basees sur des techniques cryptographiques d 
cl6s secretes. Ces methodes sont, jusqu'd ce jour, les plus simples d 
mettre en oeuvre. Dans le cadre de ces methodes, le dispositif 
d' identification, en general une carte e puce, et le dispositif de 

30 verification tel qu'un lecteur de carte, un decodeur, un publiphone, 
partagent la m§me cie secrete et T identification est accomplie par un 
algorithme symetrique ou une fonction d sens unique. 

L' inconvenient de ces methodes reside dans le fait que les 
deux parties, d savoir le dispositif de verification et le dispositif 

35 d' identification, doivent cooperer mutuellement et secretement. Cette 
condition n'est pas toujours verifiee. En effet, un element pirate peut 
acheter le dispositif de verification et Tanalyser pour connaltre sa 
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Structure interne. Ensuite, V6\6rr\ent pirate est techniquement capable de 
rdaliser des dispositifs d*identification performants, car les cl6s secrdtes 
sont pr6sentes aux deux extr^mit^s du r^seau, d savoir dans le dispositif 
de verification et dans le dispositif d'identification. 
5 II est reconnu que, parmi les divers proc^dSs pouvant Stre 

implement's pour se pr6munir centre les inconv'nients des m'thodes 
classiques connues, les protocoles d apport nul de connaissance 
assurent jusqu'd maintenant le degr^ de s6curit6 le plus 6lev6. Ces 
protocoles d apport nul de connaissance sont fonctlonnellement 

10 caract6ris6s par le fait qu'un nombre illimitd dMnteractions avec le 
dispositif d'identlfication et une analyse complete de la structure du 
dispositif de verification ne sont pas suffisants pour pouvoir reconstruire 
les dispositifs d' identification. On peut trouver une description des 
precedes d* identification d apport nul de connaissance existent 

15 notamment dans le brevet am6ricain N® 4 748 668 au nom de FIAT et 
al. ou dans le brevet americain US-A-4 932 056 au nom de Shamir. Ce 
dernier brevet decrit une methode d'authentification basee sur le 
probieme des noyaux permutes, cette methode etant connue sous le 
nom de methode PKP. 

20 Le present inventeur a aussi mis au point un nouveau precede 

d'authentification base sur le probldme du decodage par syndrome. 
Cette methode est decrite dans Tarticle intitule "A new identification 
scheme based on syndrome decoding" de Jacques STERN presente au 
congres CRYPTO 93 (Actes e paraitre dans la collection "Lecture Notes 

25 in Computer Science"). L'inconvenient des differentes methodes 
decrites ci-dessus est d'etre relativement lentes lors des echanges entre 
les dispositifs de verification et d' identification. D'autre part, les cies 
publiques ou secretes utilisees dans ces methodes sont en general 
codees sur un nombre de bits tres important, necessitant une puissance 

30 de calcul eievee et une place memoire non negligeabie. 

La presente invention a done pour but de remedier aux 
inconvenients mentionnes ci-dessus en proposant un nouveau precede 
d'authentification qui permet une authentification rapide du dispositif 
d' identification par le dispositif de verification et autorise Temploi de cies 

35 , tant publiques que secretes, de taille moderee. 

La presente invention a pour objet un precede 
d'authentification d'au moins un dispositif de verification base sur des 
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techniques cryptographiques d c\6s secretes et publiques, 
rauthentification 6tant r6alis6e par un protocole d apport nul de 
connaissance« caract6ris6 en ce que la c\6 publique est 6tablie en 
utilisant les Equations iin^aires contraintes. De pr6f France, ce proc6d6 
5 est caractSris^ par les Stapes suivantes : 

- pour permettre le dialogue entre le dispositif d* identification 
et le dispositif de verification, ^tablir une c\6 secrete constitute par au 
moins un vecteur S de dimension n dont les coordonntes sont choisies 
dans un ensemble X fix6 et une c\6 publique comprenant une matrice M 

10 de dimensions m x n dont les coefficients sont choisis al6atoirement 
parmi les entiers compris entre 0 et d-1 oO d est un nombre premier 
proche du carr6 d'un nombre c, et au moins un vecteur P tel que 
P = g(M{S)) ou g d6signe une fonction qui est d6finie d partir de 
rensemble X et d'un sous groupe G de Tensemble des entiers (1, 2, ...d- 

15 1) et qui associe d chaque coordonn6e x du vecteur, un fitment g(x) de 
G tel que x s'6crive d'une manifire unique comme produit de g(x) et d'un 
element k(x) de X, 

- au niveau du dispositif d* identification, recevoir un ou 
plusieurs elements al^atoires produits par le dispositif de verification et 

20 envoyer au dispositif de verification un engagement obtenu en 
appliquant une fonction de hachage cryptographique sur des paramStres 
fonctions de S, de M et des elements aieatoires , 

- puis, en fonction du ou des nombres aieatoires tires par le 
dispositif de verification, tester au niveau du dispositif de verification d 

25 Taide des elements re^us et de la cie publique, que les engagements 
sont corrects, 

- repeter les operations precedentes un nombre de fois 
fonction du niveau de securite souhaite. 

Dans le precede d'authentification ci-dessus, on utilise une 
30 matrice M de dimensions m x n, cette matrice etant commune d tous les 
utilisateurs et construite aieatoirement. Chaque utilisateur regoit une cl6 
secrete S qui est un mot de n bits dont les coordonnees sont choisies 
dans un ensemble X fixe. L'ensemble X est forme de c elements, tels 
que tout entier compris entre 1 et d-1 s*ecrive de manidre unique comme 
35 produit d*un element de G et d'un element de X. Dans ce cas, le 
systdme calcule la cie publique P telle que P = g(M(S)). 
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D'autre part, le proc^dd d 'identification est bas6 
principalement sur la notion technique d'engagement. Si U est une 
sequence d'^l^ments binaires, un engagement pour U est Timage de U d 
travers une certaine fonction de hachage cryptographique. 
5 L'engagement sera utilise comme une fonction d sens unique. La 
fonction de hachage proprement dite peut dtre r^alis^e par exemple 
suivant la m^thode pr^sent^e par R. Rivest d CRYPTO 90, sous le nom 
de MD4 (Actes du congrds CRYPTO 90, collection 'Lecture Notes in 
Computer Science", pp. 303-311). On peut utiliser ^galement la 

1 0 modification de cette m^thode introduite avec le nom MD5 ou encore le 
standard amSricain SHA (secure hash standard. Federal Information 
Processing Standards Publications, 30 octobre 1992). II est enfin 
possible d'utiliser d la place de la fonction de hachage un algorithme de 
chiffrement tel que DES, oO le message d hacher joue le rOle de la cl6 

15 et/ou du texte clair d chiffrer. On recommande cependant d'it^rer un tel 
proc^d6 de fagon que le condense obtenu par hachage ait de pr6f6rence 
au moins 128 bits. 

Le dispositif d'identification utilise par ailleurs un gSnSrateur 
de permutations alSatoires permutant des vecteurs binaires. Un tel 

20 g6n6rateur peut 3tre r6alis6 d partir d'une source de bruit blanc 
num6ris6e, par exemple une diode polarisSe en inverse dans la zone dite 
"du coude", ou peut aussi 6tre construit par des mSthodes logicielles 
comme d6crit dans les brevets amSricains 4 817 147 au nom de 
GUNTER ou 4 649 419 au nom d'ARAGON. 

25 

Selon un premier mode de realisation du proc666 
d'authentification, dans une premiere 6tape commune aux diff^rents 
proc6d6s, le dispositif d' identification r^vdle au dispositif de verification 
son identity et/ou sa c\6 publique sign^e. 

30 D'autre part, aprds avoir choisi dl^atoirement deux vecteurs U 

et V de dimensions respectives m et n constitu6s d'entiers compris entre 
0 et d-1 ainsi que deux permutations p et q respectivement sur m et n 
elements, le dispositif d* identification calcule et transmet au dispositif de 
verification les engagements hi, h2 et h3 dSfinis d partir d*un dispositif 

35 de hachage par hi =H(p,q,MU + P*V), h2 = H|U.p,V.q) et h3 = H((U + 
S).p, (V - T).q) oD P*V designe le produit terme d terme des 
composantes des vecteurs P et V, reduit modulo d et oO T est le vecteur 
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k(M(S)), lequel peut §tre calculi en fonction de S par le dispositif 
d' identification ou stocks dans une partie physiquement inviolable de la 
m^moire du dispositif ; 

- le dispositif de verification tire d*une fagon al6atoire un 
5 nombre b tel que 0 < b < 4 ; 

- si b vaut 1, alors le dispositif d' identification retourne une 
r^ponse r constitute des valeurs de p, q« U et V ; 

- si au contraire b vaut 2, le dispositif d 'identification retourne 
une rSponse r constitute de p,q et des vecteurs U'= (U + S), V' = (V - 

10 T) ; 

- si enfin b vaut 3, alors le dispositif retourne une rtponse r 
constitute des vecteurs U.p, V.q ainsi que des vecteurs U" - (U +S).p 
et V- = (V - T).q ; 

- le dispositif de verification regoit la rtponse r, dans le cas 
15 b = 1 , il calcule d partir des titments regus p, q, U, V, les valeurs de MU 

+ P*V, U.p, V.q lesquelles doivent, si la rtponse est correcte, fttre 
telles que hi =H(p,q,MU + P*V) ; h2 = H{U.p, V.q) ; 

- si au contraire b 2, il calcule d partir des titments regus p,q 
U\ V\ les valeurs de MU* + P*\/\ U\p, V.q lesquelles doivent si la 

20 rtponse est correcte, fitre telles que hi = H(p.q, MU' + P*V) et h3 =s 
HIU'.p, V.q) ; 

- si b vaut 3, alors le dispositif de vtrification vtrifie les deux 
tgalitts h2 = H(U.p, V.q) et h3 = H(U-, V), de plus le dispositif de 
verification calcule les deux vecteurs U" - U.p et V" - V.q et teste que 

25 ces vecteurs sent bien constituts uniquement d'tltments de X. 

Selon un autre mode de realisation priviltgie de la prtsente 
invention, dans une premiere ttape commune aux difftrents proctdts, le 
dispositif d*identificdtion rtvtle au dispositif de verification son identitt 
et/ou sa cie publique signee, 

30 - puis aprts avoir choisi aieatoirement deux vecteurs U,V de 

tailles respectives m et n constituees d'entiers compris entre 0 et d-1 
ainsi que deux permutations p et q respectivement sur m et n elements, 
le dispositif d 'identification transmet au dispositif de verification les 
engagements hi et h2 definis d partir du dispositif de hachage par hi - 

35 H(p,q,MU + P*V)« h2 ^ (U.p, V.q), oO P*V designe le produit terme d 
terme des composantes des vecteurs P et V r6duits modulo d. 
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- le dispositif de verification tire de faQon alSatoire un nombre 
a compris entre 0 et d • 1 ; 

- alors le dispositif d' identification calcule et envoie au 
dispositif de verification les vecteurs Y = (aS + U).p et Z = (aT - V).q 

5 ou T est le vecteur k(M(S)), lequel peut £tre calculi en fonction de S par 
le dispositif d' identification ou stocks dans una partie physiquement 
inviolable de la m6moire du dispositif ; 

- le dispositif de verification tire de fapon aieatoire un bit b - 

0 ou 1 ; 

10 - si b vaut 0, alors le dispositif d* identification retourne une 

reponse r constitute des valeurs de p et q ; 

- si au contraire b vaut 1, le dispositif retourne une rtponse r 
constitu6e des vecteurs = S.p et V = T,q ; 

- le dispositif de verification regoit la reponse r, dans le cas b 
15 = 0, il calcule d partir de p et q les vecteurs X' et Z' tels que {Y').p = Y 

et (Z').q = Z, puis le vecteur M(Y') - P*Z' lequel doit si la reponse est 
correcte 6tre tel que hi = H(p.q,M(Y') - P*Z*) ; 

- si b = 1, alors le dispositif de verification calcule les 
vecteurs Y - aU' et aV - Z lesquels doivent si la reponse est correcte 

20 etre tels que h2 = H(Y - aU\ aV - Z) et le dispositif de verification teste 
de plus que les vecteurs U' et V sont constitues uniquement d'eiements 
de X. 

D'autres caracteristiques et avantages de la presente invention 
apparaTtront d la lecture de la description de deux nDodes de realisation 
25 du precede, cette description etant faite avec reference aux dessins ci- 
annexes, dans lesquels : 

- la figure 1 est un schema expliquant un premier mode de 
mise en oeuvre du procede d*authentification conforme d la presente 
invention, et 

30 - la figure 2 est un schema d'un second mode de realisation 

du procede conforme d la presente invention. 

La presente invention concerne done un nouveau precede 

d'authentification realise par un protocole d apport nul de connaissance. 

Dans ce cas, la securite du procede est basee sur le probldme des 
35 equations lineaires contraintes. Ce probieme consiste d trouver n valeurs 

satisfaisant un certain nombre d'equations lineaires modulo un nombre 

premier d, ces valeurs etant de plus contraintes i se trouver dans un 
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ensemble present X. Le problSme pos6 ci-dessus est en fait trds difficile 
d r^soudre par les moyens de calcul connus d ce jour dds que le nombre 
de variables est grand. Le systSme d6crit correspond, en fait, au cas de 
m Equations d n + m variables et, avec des valeurs m = n = 20, on 
5 d^passe d^jd largement les possibilit^s des calculateurs. 

Pour mettre en oeuvre le proc6d6 d'authentlftcation conforme 
d la prSsente invention, une autorit^ choisie et publie une nnatrice M de 
dimensions m x n, de prSf^rence m n, cette matrice 6tant constitute 
de coefficients choisis al^atoirement parmi les entiers compris entre 0 et 

10 d - 1. d est en g6n6ral un nombre premier proche du cdrr6 d'un nombre 
c. De pr6f6rence, d = 257, d savoir (16 x 16) + 1. L'autoritd choisit 
aussi une collection de vecteurs S de dimensions n dont les 
coordonn^es sont choisies al6atoirement dans un ensemble X. 
L'ensemble X est d^terminS en fonction d*un ensemble G appel6 groupe 

15 multiplicatif form6 de la suite des puissances successives d'un nombre 
rSduites modulo d, cet ensemble 6tant choisi de fagon que le nombre 
d'^ISments de G soit c. Dans ce cas, il existe alors un ensemble X form6 
6galement de c SISments et tel que tout entier compris entre 1 et d-1 
s*6crive de manidre unique comme produit d*un 6l6ment de Tensemble G 

20 et d'un 6l£ment de l'ensemble X. On notera done g(u) T^ISment de G 
intervenant dans i'unique dteomposition d'un entier u compris entre 1 et 
d-1 et k(u) r6l6ment correspondant de X. Si U est un vecteur d'entiers 
compris entre 1 et d*1, g(u) est formS des images par G des 
coordonn6es de U. On d6finit de mgme k(U). 

25 La c\6 secrete ainsi d^termin^e est distribute aux diff^rents 

dispositifs d* identification. D'autre part, on publie l'ensemble des cite 
publiques constitutes par le vecteur P = g(M (S)). Dans le cadre de la 
pr6sente invention, cette cl6 publique peut 6tre codte sur un faible 
nombre d'octets de mSme que la c\6 secrete S par Tintermteiaire d'une 

30 table des fitments de G et de X. Ainsi, dans le cas ou d 257 et ou m 
= n = 20, on obtient des cl6s de 10 octets, ce qui constitue un 
avantage du prteent procteS par rapport aux autres proctdte d apport 
nul de connaissance connus d ce jour. 

On dterira maintenant deux modes de rtelisation spteifiques 

35 du procteS de la prteente invention. 

Le premier proc6d6 sera dterit avec r6f6rence d la figure 1 qui 
reprteente schtmatiquement le protocole de communication mis en 
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oeuvre entre un dispositif d'identification et le dispositif de verification, 
pour r^aliser une authentification. Les dispositifs d'identification qui 
peuvent Stre constitu^s, par exemple, par des cartes d puces ou des cl6s 
eiectroniques doivent Stre physiquement inviolables. Ainsi, pour une 
5 carte d puce, il doit §tre impossible d'acc6der d sa mSmoire interne. Rien 
par centre n'est suppose concernant i'environnement dans lequel 6volue 
le dispositif de verification. D'autre part, le dispositif d'identification 
comporte dans une m6moire non volatile sa cl6 secrete S, d savoir le 
vecteur S de dimension n et la matrice M de dimension m x n tandis que 

10 le dispositif de verification comporte dans une memoire non volatile 
I'ensemble des cies publiques constitutes des vecteurs P, ou bien des 
donnees suffisantes pour verifier qu'une cie P signee a bien et6 produite 
par Tautorite competente. Quand un dispositif d identification veut entrer 
en contact avec un dispositif de verification, les deux dispositifs 

1 5 executent le protocole suivant : 

- tout d'abord le dispositif d'identification r6veie son identite 
et/ou sa cie signee au dispositif de verification qui verifie que Tidentite 
en question correspond bien d P ; 

- ensuite le dispositif d'identification choisit deux vecteurs 
20 aieatoires U,V de tallies respectives m et n, de preference m = n, 

constitues d*entiers compris entre 0 et d*1 ainsi que deux permutations 
aieatoires p et q, respectivement sur m et n elements. Alors, le dispositif 
d'identification calcule les elements suivants : hi = H(p,q,MU + P*V), 
h2 = H(U.p, V.q) et h3 = H((U + S).p, {V.T).q) ou P*V designe le 

25 produit terme d terme des composantes des vecteurs P et V reduit 
modulo d et ou T est le vecteur k(M(S)). Une fois le calcul effectue, le 
dispositif d'identification envoie au dispositif de verification 
I'engagement hi, h2, h3. Alors, le dispositif de verification tire de fapon 
aieatoire un nombre b tel que 0 < b < 4 et Texpedie au dispositif 

30 d'identification ; 

- ensuite le dispositif d'identification calcule et envoie au 
dispositif de verification une reponse r definie par : 

- si b - 1 , alors r est constituee des valeurs de p, q, U et V ; 

- si b - 2, alors r est constituee de p,q et des vecteurs U* = 
35 (U + S) et V = <V - T) ; 

- si b = 3, alors r est constituee des vecteurs U.p, V.q et des 
vecteurs U" = (U + S).p et V" = (V - T).q. 
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Le dispositif de v6rification repoit la r6ponse r et, 

- si b = 1, il calcule d partir des ^l^ments regus p,q, U,V les 
valeurs de MU + P*V, U.p, V.q, et ces valeurs doivent, si la r6ponse est 
correcte, 6tre telles que hi = H(p,q,MU + P*V), h2 = HIU.p, V.q) ; 

5 * si b = 2, le dispositif de verification calcule d partir des 

6l6ments regus p,q, U\ V les valeurs de MU' + P*V\ U'.p, V.q et ces 
valeurs doivent, si la r^ponse est correcte, 6tre telles que hi = 
H(p,q,MU' + P*VK h3 = H(U\p, V.q) ; 

- si b = 3« alors le dispositif de verification vSrifie les deux 
10 6galit6s h2 = HIU.p, V.q) et h3 = H(U".p, V.q). De plus, le dispositif 

de verification calcule les deux vecteurs U" - U.p et V.q - S" et teste que 
ces vecteurs sont bien constitu6s uniquement d'6l6ments de Tensemble 
X. Si le test ci-dessus s'est av6r6 correct, le dispositif de verification 
considere que le protocole s'est termine par un succ^s. St le test n*est 

15 pas correct, le dispositif d' identification est rejete. 

Le dispositif de verification repete les etapes ci-dessus un 
nombre t de fois, fonction du niveau de securite requis. Lorsque le 
dispositif est accepte, on envoit une impulsion de commande sur 
I'interface entree/sortie du systSme protege qui permet la mise en route 

20 de la transaction ulterieure. 

L*ensemble des operations ci-dessus est symbolise sur la 
figure 1 dans laquelle la partie de gauche represente les differentes 
operations realisees au niveau du dispositif d'identification, tandts que la 
partie de drotte represente les differentes operations realisees au niveau 

25 du dispositif de verification, les fl6ches symbolisant renvoi 
d'informations d'un dispositif vers I'autre. 

Un autre mode de mise en oeuvre du precede 
d'authentification de la presente invention sera maintenant decrit avec 
reference d la figure 2. 

30 Ce second mode de realisation demande plus de calculs que le 

mode de realisation precedent, mais la probabilite de succds d'une entite 
iliegale decroit plus vite. Ce mode de realisation comporte done les 
etapes suivantes, symbolisees sur la figure 2 de manidre identique d la 
symbolisation utilisee sur la figure 1. Dans ce cas, le dispositif 

35 d' identification revdle au dispositif de verification son identite ou sa cie 
publique signee de la mSme manidre que dans Tautre mode de 
realisation. 
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Puis aprds avoir choisi alSatoirement deux vecteurs V de tailles 
respectives m et n, (m pouvant dtre 6gai d n) constituSs d'entiers 
compris entre 0 et d-1 ainsi que deux permutations p et q 
respectivement sur m et n 6l^ments, le dispositif d'identificatlon calcule 
5 les 6l6ments suivants d savoir : hi = H(p,q,MU + P*V), h2 = (U.p, 
V.q), ou P*V d^signe le produit terme d terme des composantes des 
vecteurs P et V modulo d et H d6signe une fonction de hachage 
cryptographique. Alors, Tengagement hi et h2 est envoys sur le 
dispositif de verification. Le dispositif de verification tire de fapon 
10 al6atoire un nombre a compris entre 0 et d - 1 et Tenvoie sur le dispositif 
d'identification. 

Alors, le dispositif d'identification calcule et envoie au 
dispositif de verification les vecteurs Y = (aS + U).p et Z = (aT - V).q 
ou T est le vecteur lc(M(S)) qui peut etre calcule en fonction de S par le 
15 dispositif d'identification ou stocke dans une partie physiquement 
inviolable de la memoire du dispositif. 

Ensuite le dispositif de verification tire de fagon aieatoire un bit 
b qui peut etre egal d 0 ou d 1 : 

- si b 0, alors le dispositif d'identification envoie une 
20 reponse r constituee des valeurs de p, q ; 

- si b = 1, le dispositif d'identification envoie une reponse r 
constituee des vecteurs U' = S.p et V = T.q ; 

Le dispositif de verification regoit la reponse r et : 

- si b = 0, il calcule d partir de p, q les vecteurs Y* et T tels 
25 que (Y').p = Y et (Z').q = Z puis le vecteur M(Y') - P»Z' qui, si la 

reponse est correcte, doit 6tre tel que h1 = H(p,q,M (Y'J - P*Z') ; 

- si b = 1, alors le dispositif de verification calcule les 
vecteurs Y - aU' et aV - Z qui, si la reponse est correcte, doivent §tre 
tels que h2 = H(Y - aU', aV - Z). Alors le dispositif de verification teste, 

30 de plus, que les vecteurs U' et V sont constitues uniquement 

d'eiements appartenant d I'ensemble X. 

Si le test correspondant d b est correct, le dispositif de 

verification considdre que le protocole s*est termine par un succds et le 

dispositif d'identification est accepte et on envoie une impulsion de 
35 commande sur I'interface entree/sortie du systeme protege qui permet la 

mise en route de la transaction ulterieure. Si le test n'est pas correct, le 

dispositif d'identification est rejete. 
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Pour accroTtre la s^curitS du proc6d6, les deux dispositifs 
d* identification et de verification rSp&tent les Stapes ci-dessus plusieurs 
fois. d savoir t fois, le dispositif de verification n'authentifiant le 
dispositif d'identification que si toutes les sessions du protocole se sont 
5 sold^es par un succ^s. De preference, on choisit t tel que 0 < t < 60« 
les valeurs t^35 et t = 20 constituant respectivement pour le premier et 
le second mode de realisation, des exemples typiques apportant une 
securite suffisante pour nombre d*applications. 

On a decrit ci-dessus deux modes de realisation particuliers qui 
10 peuvent etre modifies sans sortir du cadre de la presente invention. 
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REVENDICATIONS 



1. Proc6d6 d'authentification d'au moins un dispositif 
5 d'identification par un dispositif de verification bas6 sur des techniques 
cryptographiques d cl6s secretes et publiques, rauthentification 6tant 
r^alisSe par un protocole d apport nul de connaissance, caract6ris6 en ce 
que la cl6 publique est 6tablie en utilisant les dquations tindaires 
contraintes. 

10 2. Proc6d6 selon la revendication 1, caract6ris6 en ce qu*ll 

comporte les 6tapes suivantes : 

- pour permettre le dialogue entre le dispositif d'identification 
et le dispositif de verification, etablir une c\6 secrete constitute par au 
moins un vecteur S de dimension n dont les coordonntes sont choisies 

1 5 dans un ensemble X fix6 et une c\6 publique comprenant une matrice M 
de dimensions m x n dont les coefficients sont choisis altatoirement 
parmi les entiers compris entre 0 et d-1 oCi d est un nombre premier 
proche du carr§ d'un nombre c, et au moins un vecteur P tel que 
P = g(M(S)) ou g dtsigne une fonction qui est dtfinie d partir de 

20 Tensemble X et d'un sous groupe G de Tensemble des entiers (1, 2..d-1) 
et qui associe d chaque coordonnte x d'un vecteur, un 6l6ment g(x) de 
G tel que x s'tcrive d'une manidre unique comme produit de g(x) et d'un 
element lc(x) de X, 

- au niveau du dispositif d'identification, recevoir un ou 
25 piusieurs elements aieatoires (U,V,p,q) produits par le dispositif de 

verification et envoyer au dispositif de verification un engagement 
obtenu en appliquant une fonction de hachage cryptographique sur des 
paramdtres fonctions de S, de M et des elements aieatoires tires par le 
dispositif de verification, 
30 - puis, en fonction du ou des nombres aieatoires tires par le 

dispositif de verification, tester au niveau du dispositif de verification d 
I'aide des elements repus et de la cie publique, que les engagements 
sont corrects. 

3. Procede selon Tune quelconque des revendications 1 et 2, 
35 caracterise en ce que Ton repete les operations precedentes un nombre 
de fois fonction du niveau de securite souhaite. 
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4. Proc^d^ seion Tune quelconque des revendtcations 
pr6c6dentes, caract6ris§ en ce que Tensemble X est form6 de c 
6l6ments tels que tout entier compris entre 1 et d-1 s'^crive de mani^re 
unique comme produit d*un 6i6ment de G et d*un 6i6ment de X. 
5 5. Proc^d^ selon Tune quelconque des revendications 1 d 4, 

caract6ris6 en ce que les ^tdments al^atoires sont constituds par deux 
vecteurs U et V de dimensions respectives m et n et constituSs d'entiers 
compris entre 0 et d-1 et par deux permutations p et q respectivement 
sur m et n Pigments. 
10 6. Proc6d6 selon Tune quelconque des revendications 1 d 5, 

caract£ris6 en ce que m = n. 

7. Proc6d6 selon Tune quelconque des revendications 1 d 6, 
cafact6ris6 en ce que d = 257 et n = 20. 

8. Proc^d^ selon Tune quelconque des revendications 1 d 6, 
15 caract6ris6 en ce que, au d^but de chaque dialogue, le dispositif 

d* identification r^v^le au dispositif de verification son identity et/ou sa 
c\6 publique signSe. 

9. ProcSd^ selon Tune quelconque des revendications 1 d 8, 
caract6ris6 en ce que, une fois le dialogue 6tabli entre le dispositif 

20 d' identification et le dispositif de verification et les elements al^atoires 
choisis : 

' le dispositif d' identification calcule et transmet au dispositif 
de verification les engagements hi et h2 definis d partir d'un dispositif 
de hachage par hi =H(p,q,MU + P*V), h2 = (U.p,V.q) oO P*V d^signe le 
25 produit terme d terme des composantes des vecteurs P et V, r^duit 
modulo d ; 

' le dispositif de verification tire d*une fagon aieatoire un 
nombre a compris entre 0 et d-1 ; 

- alors, le dispositif d' identification calcule et envoie au 
30 dispositif de verification les vecteurs Y = (aS + U).p et Z = (aT-V).q, oO T 

est le vecteur k(M(S)) ; 

- le dispositif de verification tire de fapon aieatoire un bit b=0 

ou 1 ; 

- si b vaut 0, alors le dispositif d'identification retourne une 
35 reponse r constituee des valeurs de p, q ; 

- SI b vaut 1, le dispositif d* identification retourne une reponse 
r constituee des vecteurs U* =S.p et V =T.q ; 
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- le dispositif de verification regoit la r^ponse r, dans le cas 
b = 0, il calcule, d partir de p et q les vecteurs Y' et T tels que (YM.p = Y 
et KV).^^Z, puis le vecteur M(Y*)-P*Z' lequel doit si la r^ponse est 
correcte, 6tre tel que hi =H(p,q,M(Y')-P^Z*) ; 

5 - si maintenant b = 1, alors le dispositif de verification calcule 

les vecteurs Y-aU' et aV'-Z^ lesquels doivent, si la rSponse est correcte, 
§tre tels que h2 = H(Y-aU\aV-Z), le dispositif de verification testant de 
plus que les vecteurs U' et V sont constitu6s uniquement d*eiements de 
X. 

10 10. Procede selon Tune queiconque des revendications 1 d 8, 

caractdrise en ce que« une fois le dialogue etabli entre le dispositif 
d' identification et le dispositif de verification et les elements aieatoires 
choisis : 

- le dispositif dMdentification calcule et transmet au dispositif 
15 de verification les engagements hi, h2 et h3 definis k partir d'un 

dispositif de hachage par hi =H(p,q,MU-f P*V), h2 = H(U.p,V.q) et 
h3 = H{(U + S).p,(V-T).q) ou P*V d6signe le produit terme d terme des 
composantes des vecteurs P et V, reduit modulo d et oD T est le vecteur 
k(M{S)) ; 

20 - le dispositif de verification tire de fagon aieatoire un nombre 

b tel que 0<b<4 ; 

- si b vaut 1, alors, le dispositif d'tdentification retourne une 
reponse r constituee des valeurs de p,q,U et V ; 

- si b vaut 2, alors le dispositif retourne une reponse r 
25 constituee de p,q et des vecteurs U* = (U + S) et V = (V-T) ; 

- si b vaut 3, alors le dispositif retourne une reponse r 
constituee des vecteurs U.p, V.q ainsi que des vecteurs U'* = (U + S).p et 
V=(V.T).q ; 

- le dispositif de verification regoit la reponse r, dans le cas 
30 b = 1, il calcule d partir des elements regus p,q,U,V, les valeurs de 

MU + P*V, U.p, V.q lesquelles doivent, si la reponse est correcte, 6tre 
telles que hi =H(p,q,MU + P*V), h2 = H{U.p,V.q) ; 

- si au contraire b vaut 2, 11 calcule d partir des elements regus 
p,q.U\V\ les valeurs de MU' + P*V\ U\p, V.q lesquelles doivent, si la 

35 reponse est correcte, etre telles que hi »H(p,q,MU' + P*V*) et 
h3 = H(U\p.V.q) ; 
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- si enfin b vaut 3, alors le dispositif de verification v6rifie les 
deux 6galit6s h2 = H{U.p,V.q) et h3 = H(U'\V), de plus, le dispositif de 
verification calcule les deux vecteurs U"-U.p et V.q-V" et teste que ces 
vecteurs sont bien constitu6s uniquennent d 'elements de X. 
5 11. Ptoc6d6 selon Tune quelconque des revendications 9 et 

10, caracterise en ce que Ton r^pgte les Stapes ci-dessus un nombre t 
de fois, fonction du niveau de security requis, le dispositif de verification 
n'authentifiant le dispositif d'identification que si toutes les sessions du 
protocole se sont soldees par un succds. 
10 12. Precede selon Tune quelconque des revendications 9 et 

1 0, caracterise en ce que le vecteur k (M(S)) est calcuie en fonction de 
S par le dispositif d' identification ou est stocke dans une partie 
physiquement inviolable de la memoire du dispositif. 



DISPOSITIF D'tDEffTIFICATION 
Ci6 secrete - vecteurs S 

Produire : 

- un vecteur aidatoire U de taille m 

- un vecteur al6atoire V de taille n 

- une permutation al^tole p sur m 

- une pennutatlon altetoire q sur n 

Calculer : hi = H(p.q,MU + P*V) 

h2 = (U.p.V.q) 

h3 = H({U + S).p. (V-T).q)) 

T = k(M(s)) 
Envoyerhl, h2, h3 



Recevoir b 

si b = 1 alors r = {p. q. U. V) 

si b = 2 alors r = {p. q. U" = U + S. 

V = V-T> 
si b = 3 alors f = {U.p, V.q 

U"=(V + S).p. 

V = (V-T).q) 



Envoyer r 



FIGURE 1 
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DISPOSITIF DE VERIFICATION 
CI6 publique = vecteur P 



Recevoir h1, h2, hS 
produire un nowbre al6atoire b tel que 
0<b<4 

Envoyer b 



Recevoir r 
si b = 1 verifier hi, h2 
sib = 2v6ririerh1,h3 
si b = 3 verifier h2. h3 
et tester que les vecteurs trouv6s 




Qui 









Dispositif 
accepts 
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DISPOSITIF D1DENTIFICAT1QN 
C\6 secrdte = vecteurs S 

Produire : 

* un vecteur alSatoire U de tailie m 

- un vecteur al6atoire V de taille n 

- una permutation aldatoie p sur m 

- una permutation alSatoire q sur n 

Calculer : h1 = H(p.q,MU + P*V) 
h2 = (U.p.V.q) 



Envoyerhl, h2 



Recevoir a 

Calculer : 
Y = (aS + U).p 
Z = (aT-V).q 
T = k(M(s)) 

Envoyer Y, Z 



Recevoir b 

si b = 0 alors r = {p.q} 

si b = 1 alors r = {U* = S.p. V = T.q} 

Envoyer r 



nGURE2 
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DISPOSITIF DE VERIFICATION 
016 publlque = vecteur P 



Recevoir h1, h2 
Tirer un nombre alealoire a tel que 
0< a< d - 1 

Envoyer a 



Recevoir Y. Z 
Tirer un nombre aldatoire b tel que : 
0<b<1 

Envoyer b 



Recevoir r 
si b = 0 verifier h1 
si b = 1 v6rifier h2 

et tester que les vecteurs E S X 




Oui 



Dispositif 
rejetd 



> 






Dispositif 
accepts 
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